NCSC geeft advies tegen DDoS-aanvallen
Het Nationaal Cyber Security Center (NCSC) van het ministerie van Veiligheid en Justitie heeft een aantal technische en organisatorische adviezen online gezet waarmee organisaties zich tegen DDoS-aanvallen kunnen wapenen. Volgens het NCSC kunnen DDoS-aanvallen de bedrijfsvoering verstoren en voor zowel financiële als imagoschade zorgen.
De overheidsorganisatie benadrukt dat DDoS-aanvallen steeds groter en complexer worden en eenvoudiger en goedkoper zijn uit te voeren. Via twee factsheets, één nieuwe en één bijgewerkte uit 2013, worden adviezen en maatregelen gegeven om de impact van een aanval te verkleinen. Het gaat dan om technische maatregelen, zoals het installeren van updates, het gebruik van statische pagina’s of een webcache, het instellen van serverspecifieke maatregelen, het treffen van hardeningmaatregelen, het beschikken over voldoende capaciteit en het gebruik van een Content Distribution Network (CDN).
Daarnaast kunnen organisaties ook maatregelen nemen om te voorkomen dat hun infrastructuur wordt gebruikt voor het uitvoeren van DDoS-aanvallen op andere organisaties. Zo moet er worden gecontroleerd dat servers, bijvoorbeeld de dns-servers, niet kunnen worden gebruikt in reflectieaanvallen en is het belangrijk dat computers binnen de organisatie geen onderdeel van een botnet uitmaken. Ook wordt aangeraden om uitgaand netwerkverkeer te blokkeren dat zich voordoet als verkeer uit een ander netwerk.
Organisatorische adviezen
Naast het nemen van technische maatregelen geeft het NCSC ook organisatorische adviezen. Zo kan er worden nagegaan welke DDoS-maatregelen er bij elke externe leverancier al zijn genomen en wat daar de afspraken over zijn. Ook is het verstandig om een draaiboek te maken als een DDoS-aanval zich voordoet, waarin wordt beschreven hoe een aanval is te herkennen, wie welke stappen neemt en wie de gegevens verzamelt voor het doen van aangifte. Daarnaast wordt aangeraden een overzicht van de eigen infrastructuur te maken en die te monitoren, alsmede een communicatiestrategie op stellen voor uitingen naar de eigen medewerkers, klanten, overheid en andere partijen.
Het is eerder schokkend dat er met die adviezen al die tijd zo weinig gedaan wordt.
Op zich heb je gelijk. Echter ook: goedkoop is duurkoop. Op Beveiliging en kwaliteit wordt beknibbeld, het is iets voor later. Eerst de markt op of eerst betere financiële cijfers in boekhouding tonen. De schade wordt altijd wel bij de klanten gelegd hoe dan ook. Het nu heel eenzijdig kroten termijn gewin en risico-s negeren. (Je moest eens weten)
Je hoeft ook niet alle adviezen op te volgen. Het belangrijkste is de kosten/baten met een risico afweging maken. Die afwegingen moeten in balans zijn. Leg de gemaakte keuzes raadpleegbaar vast en het proces PDCA voor bewaking en verbetering. Op die manier minimaliseer je de schade voor een ieder.
Op zich heb je gelijk. Echter ook: goedkoop is duurkoop. Op Beveiliging en kwaliteit wordt beknibbeld, het is iets voor later.
Ik denk ook dat het beter is om het probleem bij de wortel aan te pakken:
1. de mensen die denken dat het leuk is om andermans spullen en diensten kapot te maken door middel van flinke
straffen duidelijk maken dat dit niet leuk is
2. de providers dwingen om source adres (BCP 38) filtering in te voeren
Je systemen updaten.. kleine moeite, gewoon automatiseren.
Zorgen dat je routers netjes dicht staan.. kleine moeite..
Management interfaces alleen via intern netwerk beschikbaar stellen..
En hoeveel bedrijven hebben er nou echt inkomende UDP nodig?
Sterker nog, naast ssh, sftp, (s)smtp, http en https heb je ook daar al bijna alles gehad.
SIP, en een VPN wellicht nog (dan wel UDP nodig helaas)
Externe DNS is vaak goedkoop en veiliger dan SOLIDE in-house oplossingen,
en je kan 90%+ van alle aanvalsverkeer bij de provider al laten droppen..
(Ja er zijn zat uitzonderingen maar heel veel bedrijven gebruiken het echt niet)
Geo routing.. kost je ook hooguit een paar uur arbeid en werkt prima als extra preventie slag.
Waar komen je klanten nou echt vandaan.. grote kans dat je 80%+ van de wereld en dus van de aanval vectoren uit kan sluiten terwijl je minder dan 0,1% van je klanten daar mee raakt..
Tuurlijk moet je naar level & aanvallen gaan kijken etc.. maar dat zijn een heel aantal effectieve aanval vectoren die je heel eenvoudig helpen met het verkleinen van je attack surface en die allemaal weinig tijd en weinig geld kosten.
Ik denk ook dat het beter is om het probleem bij de wortel aan te pakken:
1. de mensen die denken dat het leuk is om andermans spullen en diensten kapot te maken door middel van flinke
straffen duidelijk maken dat dit niet leuk is
2. de providers dwingen om source adres (BCP 38) filtering in te voeren
Maar neem nu bv ING in 2013 wisten ze niet eens wat een DDOS was terwijl ze werden aangevallen. Sox dnb basel etc gewoon gefaald. Preventie en kwaliteit wordt onder het mom van kosten gewoon genegeerd. Dat is ook een probleem dat bij de bron aangepakt moet worden. Falend bestuur en falende contrôle instanties zouden aangepakt moeten worden. Nu komen die er mee weg.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.